Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Thông tư 03/2017/TT-BTTTT hướng dẫn Nghị định 85/2016/NĐ-CP an toàn hệ thống thông tin

Số hiệu:	03/2017/TT-BTTTT	Loại văn bản:	Thông tư
Nơi ban hành:	Bộ Thông tin và Truyền thông	Người ký:	Trương Minh Tuấn
Ngày ban hành:	24/04/2017	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đã biết	Số công báo:	Đã biết
		Tình trạng:	Đã biết

BỘ THÔNG TIN VÀ TRUYỀN THÔNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 03/2017/TT-BTTTT	Hà Nội, ngày 24 tháng 4 năm 2017

THÔNG TƯ

QUY ĐỊNH CHI TIẾT VÀ HƯỚNG DẪN MỘT SỐ ĐIỀU CỦA NGHỊ ĐỊNH SỐ 85/2016/NĐ-CP NGÀY 01/7/2016 CỦA CHÍNH PHỦ VỀ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Cục trưởng Cục An toàn thông tin,

Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Thông tư này quy định chi tiết và hướng dẫn bảo đảm an toàn hệ thống thông tin theo cấp độ, bao gồm: Hướng dẫn xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin; Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ; Kiểm tra, đánh giá an toàn thông tin; Tiếp nhận và thẩm định hồ sơ đề xuất cấp độ; Báo cáo, chia sẻ thông tin.

2. Hệ thống thông tin phục vụ hoạt động quốc phòng, an ninh do Bộ Quốc phòng, Bộ Công an quản lý không thuộc phạm vi điều chỉnh của Thông tư này.

Điều 2. Đối tượng áp dụng

Đối tượng áp dụng Thông tư này được thực hiện theo quy định tại Điều 2 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ (sau đây gọi tắt là Nghị định số 85/2016/NĐ-CP).

Điều 3. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Xác thực đa nhân tố là phương pháp xác thực không chỉ dựa vào một mà là kết hợp một số yếu tố liên quan đến người dùng, bao gồm: những thông tin mà người dùng biết (mật khẩu, mã số truy cập,...), những thông tin mà người dùng sở hữu (chứng thư số, thẻ thông minh,...) hoặc những thông tin về sinh trắc học của người dùng (vân tay, mống mắt,...).

2. Dự phòng nóng là khả năng thay thế chức năng của thiết bị khi xảy ra sự cố mà không làm gián đoạn hoạt động của hệ thống.

3. Độ phức tạp cần thiết của mật khẩu là việc bảo đảm mật khẩu có trên 8 ký tự, trong đó bao gồm cả ký tự chữ cái hoa, chữ cái thường, ký tự đặc biệt và chữ số.

4. Thiết bị mạng chính hoặc quan trọng là các thiết bị khi ngừng một phần hay toàn bộ hoạt động mà không có kế hoạch trước sẽ làm gián đoạn hoạt động bình thường của hệ thống thông tin.

Chương II

HƯỚNG DẪN XÁC ĐỊNH HỆ THỐNG THÔNG TIN VÀ CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNG TIN

Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể

1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc quy định tại khoản 1 Điều 5 Nghị định số 85/2016/NĐ-CP.

2. Hệ thống thông tin được thiết lập, hình thành thông qua một hoặc một số hình thức sau: Đầu tư xây dựng, thiết lập mới; nâng cấp, mở rộng, tích hợp với hệ thống đã có; thuê hoặc chuyển giao hệ thống.

3. Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống họp, hội nghị truyền hình trực tuyến;

d) Hệ thống quản lý thông tin cụ thể (nhân sự, tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau);

đ) Hệ thống xử lý thông tin nội bộ.

4. Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và lĩnh vực chuyên ngành khác, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống một cửa điện tử;

d) Hệ thống trang, cổng thông tin điện tử;

đ) Hệ thống cung cấp hoặc hỗ trợ cung cấp dịch vụ trực tuyến;

e) Hệ thống chăm sóc khách hàng.

5. Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao gồm:

a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;

b) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;

c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;

d) Hệ thống kết nối liên thông, trục tích hợp các hệ thống thông tin.

6. Hệ thống thông tin điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng, bao gồm:

a) Hệ thống điều khiển lập trình được (PLCs);

b) Hệ thống điều khiển phân tán (DCS);

c) Hệ thống giám sát và thu thập dữ liệu (SCADA).

7. Hệ thống thông tin khác là hệ thống thông tin không thuộc các loại hình trên, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên ngành.

Điều 5. Chủ quản hệ thống thông tin

1. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là một trong các trường hợp sau:

a) Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;

b) Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương;

c) Cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

2. Đối với doanh nghiệp và tổ chức khác, chủ quản hệ thống thông tin là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

3. Chủ quản hệ thống thông tin có thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp đối với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo quy định tại khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP.

Việc ủy quyền phải được thực hiện bằng văn bản, trong đó nêu rõ phạm vi và thời hạn ủy quyền. Tổ chức được ủy quyền phải trực tiếp thực hiện quyền và nghĩa vụ của chủ quản hệ thống thông tin mà không được ủy quyền lại cho bên thứ ba.

Điều 6. Đơn vị vận hành hệ thống thông tin

1. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin.

2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần hoặc phân tán, có nhiều hơn một đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin phải có trách nhiệm chỉ định một đơn vị làm đầu mối để thực hiện quyền và nghĩa vụ của đơn vị vận hành hệ thống thông tin theo quy định của pháp luật.

3. Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.

Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin

Việc xác định cấp độ và thuyết minh cấp độ an toàn hệ thống thông tin thực hiện như sau:

1. Xác định và phân loại hệ thống thông tin; xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin căn cứ theo quy định tại các Điều 5, 6 Nghị định số 85/2016/NĐ-CP và các Điều 4, 5, 6 Thông tư này.

2. Xác định loại thông tin được xử lý thông qua hệ thống thông tin căn cứ theo quy định tại khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.

3. Xác định cấp độ căn cứ theo quy định tại các điều từ Điều 7 đến Điều 11 Nghị định số 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất là cấp độ 4 hoặc cấp độ 5, thuyết minh đề xuất cấp độ làm rõ các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin.

b) Danh mục đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng được xử lý trong hệ thống (nếu có);

c) Thuyết minh về mức độ quan trọng của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý hoặc lưu trữ trên hệ thống (nếu có);

d) Thuyết minh về các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống, các thành phần hệ thống và các thiết bị mạng quan trọng; ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đối với các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định số 85/2016/NĐ-CP;

đ) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của từng hệ thống đã được xác định.

Đối với hệ thống thông tin cấp độ 4, thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

e) Thuyết minh khác (nếu có) trên cơ sở thực tế hoạt động của hệ thống thông tin.

Chương III

YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Điều 8. Yêu cầu chung

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin và tiêu chuẩn, quy chuẩn kỹ thuật chuyên ngành có liên quan khác.

2. Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tinvà không bao gồm các yêu cầu bảo đảm an toàn vật lý.

3. Yêu cầu cơ bản bao gồm:

a) Yêu cầu kỹ thuật: An toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu;

b) Yêu cầu quản lý: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.

4. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định số 85/2016/NĐ-CP, cụ thể như sau:

a) Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Trong trường hợp đầu tư mới, phải có thuyết minh về việc giải pháp đã có không đáp ứng được yêu cầu cơ bản;

b) Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.

Điều 9. Yêu cầu cơ bản đối với từng cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 1 ban hành kèm theo Thông tư này.

2. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu như đối với cấp độ 1 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 2 ban hành kèm theo Thông tư này.

3. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 3 phải đáp ứng yêu cầu như đối với cấp độ 2 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 3 ban hành kèm theo Thông tư này.

4. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu như đối với cấp độ 3 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 4 ban hành kèm theo Thông tư này.

5. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu như đối với cấp độ 4 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 5 ban hành kèm theo Thông tư này.

Chương IV

KIỂM TRA, ĐÁNH GIÁ AN TOÀN THÔNG TIN

Điều 10. Nội dung, hình thức kiểm tra, đánh giá

1. Nội dung kiểm tra, đánh giá:

a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;

b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;

c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống;

d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.

2. Hình thức kiểm tra, đánh giá:

a) Kiểm tra, đánh giá định kỳ theo kế hoạch của chủ quản hệ thống thông tin;

b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩm quyền.

3. Cấp có thẩm quyền yêu cầu kiểm tra, đánh giá:

a) Bộ trưởng Bộ Thông tin và Truyền thông;

b) Chủ quản hệ thống thông tin đối với hệ thống thông tin thuộc thẩm quyền quản lý;

c) Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin do đơn vị này phê duyệt hồ sơ đề xuất cấp độ.

4. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện nhiệm vụ kiểm tra, đánh giá.

5. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.

Điều 11. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ bao gồm:

a) Kiểm tra việc tuân thủ quy định của pháp luật về xác định cấp độ an toàn hệ thống thông tin;

b) Kiểm tra việc tuân thủ quy định của pháp luật về thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ.

2. Đơn vị chủ trì kiểm tra là một trong những đơn vị sau đây:

a) Cục An toàn thông tin;

b) Đơn vị chuyên trách về an toàn thông tin.

3. Kế hoạch kiểm tra định kỳ bao gồm các nội dung sau:

a) Danh sách các đơn vị, hệ thống thông tin (nếu có) sẽ tiến hành kiểm tra;

b) Phạm vi và nội dung kiểm tra;

c) Thời gian tiến hành kiểm tra;

d) Đơn vị phối hợp kiểm tra (nếu có).

4. Quyết định kiểm tra được lập sau khi kế hoạch kiểm tra định kỳ được cấp có thẩm quyền phê duyệt hoặc khi có kiểm tra đột xuất của cấp có thẩm quyền.

5. Đối với kiểm tra định kỳ:

a) Đơn vị chủ trì kiểm tra lập kế hoạch kiểm tra định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện;

b) Trường hợp có thay đổi so với kế hoạch kiểm tra định kỳ đã được phê duyệt, đơn vị chủ trì kiểm tra lập kế hoạch kiểm tra định kỳ điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh;

c) Kế hoạch kiểm tra định kỳ được gửi cho đối tượng kiểm tra và cơ quan cấp trên của đối tượng kiểm tra trong thời hạn tối đa 10 ngày kể từ ngày được phê duyệt nhưng tối thiểu 10 ngày trước ngày tiến hành kiểm tra.

6. Đối với kiểm tra đột xuất:

Căn cứ yêu cầu kiểm tra đột xuất, quyết định kiểm tra, Trưởng đoàn kiểm tra quy định các nội dung kiểm tra cho phù hợp.

7. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, Đoàn kiểm tra có trách nhiệm thông báo cho đối tượng kiểm tra biết và bàn giao tài liệu, trang thiết bị sử dụng (nếu có) trong quá trình kiểm tra.

Đoàn kiểm tra có trách nhiệm dự thảo Báo cáo kiểm tra, gửi cho đối tượng kiểm tra để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo kiểm tra, đối tượng kiểm tra có trách nhiệm có ý kiến đối với các nội dung dự thảo.

8. Trên cơ sở dự thảo Báo cáo kiểm tra, ý kiến tiếp thu giải trình của đối tượng kiểm tra, trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra tại cơ sở, Đoàn kiểm tra hoàn thiện Báo cáo kiểm tra và dự thảo kết luận kiểm tra trình cấp có thẩm quyền yêu cầu kiểm tra xem xét, phê duyệt.

Kết luận kiểm tra phải gửi cho đối tượng kiểm tra và cơ quan quản lý cấp trên của đối tượng kiểm tra (nếu có) và các đơn vị có liên quan (nếu cần thiết).

Điều 12. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin

1. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin là việc rà soát một cách tổng thể, xác minh mức độ hiệu quả của phương án bảo đảm an toàn thông tin theo từng tiêu chí, yêu cầu cơ bản cụ thể.

Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin đã được áp dụng là cơ sở để tiến hành điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp với yêu cầu thực tiễn.

2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:

a) Cục An toàn thông tin;

b) Đơn vị chuyên trách về an toàn thông tin;

c) Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;

d) Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng.

3. Đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện. Kế hoạch đánh giá bao gồm:

a) Danh sách các đơn vị, hệ thống thông tin sẽ tiến hành đánh giá;

b) Thời gian tiến hành đánh giá;

c) Đơn vị thực hiện: Tự thực hiện hoặc do đơn vị chuyên trách về an toàn thông tin thực hiện hoặc thuê ngoài theo quy định của pháp luật.

4. Trường hợp có thay đổi so với kế hoạch đánh giá đã được phê duyệt, đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh.

5. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, đơn vị chủ trì đánh giá có trách nhiệm thông báo cho đơn vị vận hành hệ thống thông tin biết và bàn giao tài liệu, trang thiết bị sử dụng (nếu có) trong quá trình kiểm tra.

Đơn vị chủ trì đánh giá có trách nhiệm dự thảo Báo cáo đánh giá, gửi cho đơn vị vận hành hệ thống thông tin để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo đánh giá, đơn vị vận hành hệ thống thông tin có trách nhiệm có ý kiến đối với các nội dung dự thảo.

6. Trên cơ sở dự thảo Báo cáo đánh giá, ý kiến của đơn vị vận hành hệ thống thông tin, đơn vị chủ trì đánh giá hoàn thiện Báo cáo đánh giá, gửi đơn vị vận hành và chủ quản hệ thống thông tin.

Điều 13. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống

1. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống là việc thực hiện dò quét, phát hiện lỗ hổng, điểm yếu của hệ thống, thử nghiệm tấn công xâm nhập hệ thống và đánh giá nguy cơ, thiệt hại có thể có của hệ thống thông tin khi bị đối tượng tấn công xâm nhập.

2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:

a) Cục An toàn thông tin;

b) Đơn vị chuyên trách về an toàn thông tin;

c) Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;

d) Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng hoặc tổ chức khác được chủ quản hệ thống thông tin cho phép thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống.

3. Đơn vị chủ trì đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống có trách nhiệm:

a) Thông báo cho chủ quản hệ thống thông tin về điểm yếu an toàn thông tin phát hiện ra nhằm khắc phục, phòng tránh các sự cố an toàn thông tin;

b) Thực hiện công tác bảo đảm an toàn cho dữ liệu liên quan đến hệ thống được đánh giá, không công bố dữ liệu liên quan khi chưa được sự đồng ý của chủ quản hệ thống thông tin;

c) Việc đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống phải bảo đảm không ảnh hưởng đến hoạt động bình thường của hệ thống.

Chương V

TIẾP NHẬN VÀ THẨM ĐỊNH HỒ SƠ ĐỀ XUẤT CẤP ĐỘ

Điều 14. Nộp và tiếp nhận hồ sơ đề xuất cấp độ để thẩm định

1. Đối với hệ thống thông tin được đề xuất cấp độ 1, 2, 3:

Đơn vị vận hành hệ thống thông tin gửi 01 bản chính và 02 bản sao hợp lệ hồ sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin để thẩm định.

2. Đối với hệ thống thông tin được đề xuất cấp độ 4, 5:

a) Chủ quản hệ thống thông tin gửi 01 bản chính và 04 bản sao hợp lệ hồ sơ đề xuất cấp độ về Bộ Thông tin và Truyền thông (Cục An toàn thông tin) để thẩm định;

b) Tổ chức tiếp nhận hồ sơ và địa chỉ tiếp nhận hồ sơ đối với hệ thống thông tin được đề xuất cấp độ 4, 5:

Bộ Thông tin và Truyền thông (Cục An toàn thông tin), Tầng 8, Tòa nhà 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội.

Trong trường hợp thay đổi địa chỉ tiếp nhận hồ sơ, Cục An toàn thông tin thông báo công khai việc thay đổi địa chỉ theo quy định.

3. Trong vòng 05 ngày làm việc kể từ ngày tiếp nhận, tổ chức tiếp nhận hồ sơ đề xuất cấp độ kiểm tra tính hợp lệ của hồ sơ. Trong trường hợp hồ sơ không hợp lệ, tổ chức tiếp nhận hồ sơ đề xuất cấp độ thông báo bằng văn bản cho tổ chức nộp hồ sơ biết để bổ sung, hoàn thiện hồ sơ.

Điều 15. Tổ chức thẩm định hồ sơ đề xuất cấp độ

1. Đối với hệ thống thông tin được đề xuất cấp độ 1, 2, 3:

Đơn vị chuyên trách về an toàn thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định số 85/2016/NĐ-CP.

Trong quá trình thẩm định, trong trường hợp cần thiết, đơn vị chuyên trách về an toàn thông tin lấy ý kiến bằng văn bản của các đơn vị liên quan.

2. Đối với hệ thống thông tin được đề xuất cấp độ 4, 5:

Bộ Thông tin và Truyền thông thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định số 85/2016/NĐ-CP. Việc tổ chức thẩm định hồ sơ đề xuất cấp độ được thực hiện theo quy trình sau:

a) Cục An toàn thông tin lấy ý kiến bằng văn bản của Vụ Pháp chế và đơn vị liên quan khác thuộc Bộ Thông tin và Truyền thông trong trường hợp cần thiết theo chức năng, nhiệm vụ của các đơn vị;

b) Bộ Thông tin và Truyền thông lấy ý kiến bằng văn bản của Bộ Quốc phòng, Bộ Công an theo quy định;

c) Căn cứ ý kiến bằng văn bản của Bộ Quốc phòng, Bộ Công an và các đơn vị liên quan, trong trường hợp cần thiết, Bộ Thông tin và Truyền thông thành lập Hội đồng thẩm định để trao đổi, thảo luận, cho ý kiến cụ thể. Chủ tịch Hội đồng thẩm định do Bộ trưởng Bộ Thông tin và Truyền thông phân công, đại diện Lãnh đạo Cục An toàn thông tin, Vụ Pháp chế, Trung tâm VNCERT - Bộ Thông tin và Truyền thông, đại diện Lãnh đạo đơn vị chức năng của Bộ Công an, Bộ Quốc phòng và một số chuyên gia độc lập (nếu cần thiết) làm thành viên.

Điều 16. Cơ chế phối hợp thẩm định

1. Đơn vị vận hành hệ thống thông tin có trách nhiệm phối hợp với đơn vị thẩm định hồ sơ đề xuất cấp độ trong việc xác định sự phù hợp của hồ sơ đề xuất cấp độ đối với yêu cầu hoạt động của hệ thống thông tin tương ứng.

2. Trong trường hợp cần thiết, đơn vị thẩm định hồ sơ đề xuất cấp độ thực hiện kiểm tra, đánh giá thực tế các phương án bảo đảm an toàn hệ thống thông tin theo cấp độ được đề xuất. Việc kiểm tra, đánh giá bảo đảm không gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin và có thông báo cho chủ quản hệ thống thông tin, đơn vị vận hành khi phát hiện các điểm yếu an toàn thông tin cần khắc phục.

Chương VI

BÁO CÁO, CHIA SẺ THÔNG TIN

Điều 17. Chế độ báo cáo

1. Chủ quản hệ thống thông tin cấp độ 1, 2 chỉ đạo đơn vị vận hành hệ thống thông tin thực hiện chế độ báo cáo định kỳ hoặc đột xuất theo quy định tại khoản 4 Điều 22 Nghị định số 85/2016/NĐ-CP.

2. Chủ quản hệ thống thông tin cấp độ 3, 4, 5 thực hiện chế độ báo cáo định kỳ hàng năm hoặc báo cáo đột xuất theo yêu cầu của Bộ Thông tin và Truyền thông.

3. Nội dung báo cáo:

a) Tình hình an toàn thông tin của hệ thống thông tin trong kỳ báo cáo;

b) Tiến độ triển khai, áp dụng phương án bảo đảm an toàn hệ thống thông tin theo hồ sơ xác định cấp độ đã được phê duyệt;

c) Hiệu quả áp dụng phương án bảo đảm an toàn hệ thống thông tin theo hồ sơ xác định cấp độ đã được phê duyệt;

d) Đề xuất thay đổi cấp độ, phương án bảo đảm an toàn hệ thống thông tin (nếu có);

đ) Nội dung khác phục vụ công tác bảo đảm an toàn hệ thống thông tin theo cấp độ.

4. Báo cáo định kỳ gửi về Bộ Thông tin và Truyền thông (Cục An toàn thông tin) trước ngày 30 tháng 11 hàng năm.

Điều 18. Chia sẻ thông tin

1. Chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin cấp 4, 5 và chủ quản hệ thống thông tin là cơ quan, tổ chức nhà nước có trách nhiệm tham gia chia sẻ thông tin với cơ quan quản lý nhà nước về an toàn thông tin đối với công tác bảo đảm an toàn thông tin. Các chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin còn lại tham gia chia sẻ thông tin trên tinh thần tự nguyện.

2. Thông tin được chia sẻ thông qua các hình thức trực tiếp, thư điện tử, văn bản, hệ thống chia sẻ thông tin được vận hành bởi Bộ Thông tin và Truyền thông. Đối với thông tin được xác định là thông tin bí mật nhà nước, việc chia sẻ thông tin thực hiện theo quy định của pháp luật về bảo vệ bí mật nhà nước.

3. Việc chia sẻ thông tin dựa trên nguyên tắc bí mật, chọn lọc và bảo đảm lợi ích của các bên tham gia. Đơn vị nhận thông tin được chia sẻ có trách nhiệm bảo vệ bí mật nguồn gốc, nội dung thông tin theo thống nhất giữa các bên tham gia chia sẻ thông tin.

4. Việc chia sẻ thông tin được thực hiện ít nhất mỗi quý một lần và phù hợp với thực tế hoạt động của hệ thống thông tin tương ứng.

5. Các thông tin được chia sẻ bao gồm:

a) Thông tin chưa được phân tích hoặc đã được phân tích về nguy cơ mất an toàn thông tin; thông tin về các cuộc tấn công mạng đã xảy ra:

- Các loại hình tấn công mạng ghi nhận được tại hệ thống;

- Số lượng các sự kiện tấn công mạng ghi nhận được tại hệ thống;

- Mẫu dữ liệu tấn công mạng thu thập được;

- Các dữ liệu khác theo thống nhất của các bên tham gia chia sẻ thông tin.

b) Các hoạt động bảo đảm an toàn hệ thống thông tin như tuyên truyền, đào tạo, diễn tập và các thông tin khác.

Chương VII

TỔ CHỨC THỰC HIỆN

Điều 19. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2017.

2. Trong quá trình thực hiện Thông tư này, nếu có vướng mắc, các cơ quan, đơn vị liên hệ với Bộ Thông tin và Truyền thông (Cục An toàn thông tin) để phối hợp giải quyết./.

BỘ TRƯỞNG

Trương Minh Tuấn

PHỤ LỤC 1

YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 1
(Ban hành kèm theo Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Yêu cầu kỹ thuật:

a) An toàn máy chủ:

- Có xác thực bằng cơ chế mật khẩu và ghi nhật ký hệ thống đối với hoạt động truy cập, quản trị máy chủ;

- Không sử dụng kết nối không được mã hóa trong việc quản trị máy chủ từ xa;

b) An toàn ứng dụng:

Có xác thực bằng cơ chế mật khẩu và ghi nhật ký đối với hoạt động truy cập ứng dụng và đăng nhập chức năng quản trị;

c) An toàn dữ liệu:

Có sao lưu dự phòng định kỳ dữ liệu trên hệ thống tùy theo yêu cầu, mục đích sử dụng.

2. Yêu cầu quản lý:

a) Chính sách chung: Có chính sách an toàn thông tin cho đối tượng quản trị, vận hành hệ thống;

b) Tổ chức, nhân sự: Có đầu mối liên hệ để thông báo, trao đổi, xử lý vấn đề phát sinh hoặc sự cố mất an toàn thông tin xảy ra với hệ thống thông tin.

PHỤ LỤC 2

YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 2
(Ban hành kèm theo Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Yêu cầu kỹ thuật:

a) An toàn hạ tầng mạng:

- Có phân vùng hạ tầng mạng thành các vùng mạng khác nhau tùy theo yêu cầu, mục đích sử dụng;

- Có phương án sử dụng thiết bị có chức năng tường lửa để ngăn chặn truy cập trái phép giữa các vùng mạng với mạng Internet;

- Có cơ chế xác thực và mã hóa khi sử dụng mạng không dây (nếu có);

- Có phương án xác thực tài khoản quản trị trên các thiết bị mạng quan trọng;

- Có phương án quản trị các thiết bị từ xa (nếu có) thông qua các giao thức hỗ trợ mã hóa;

b) An toàn máy chủ:

- Có sử dụng phần mềm phòng, chống mã độc trên máy chủ và có cơ chế tự động cập nhật phiên bản mới hoặc dấu hiệu nhận dạng mã độc mới cho phần mềm này;

- Có cơ chế xác thực bằng mật khẩu bảo đảm độ phức tạp cần thiết, yêu cầu thay đổi mật khẩu định kỳ theo quy định của tổ chức và có cơ chế phòng chống dò quét mật khẩu; Các thông tin xác thực phải được lưu trữ trên hệ thống dưới dạng mã hóa;

- Có phương án vô hiệu hóa các tài khoản mặc định hoặc không hoạt động trên hệ thống; vô hiệu hóa các dịch vụ, phần mềm không sử dụng trên máy chủ;

- Có ghi nhật ký hệ thống đối với hoạt động truy cập, quản trị máy chủ;

- Có thiết lập cơ chế cập nhật bản vá điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ;

c) An toàn ứng dụng:

- Có thiết lập yêu cầu bảo đảm mật khẩu trên ứng dụng đủ độ phức tạp cần thiết để hạn chế tấn công dò quét mật khẩu; các thông tin xác thực phải được lưu trữ dưới dạng mã hóa;

- Có thiết lập yêu cầu ghi nhật ký truy cập, lỗi phát sinh;

- Không sử dụng kết nối mạng không mã hóa trong việc quản trị ứng dụng từ xa.

d) An toàn dữ liệu: Có phương án sử dụng hệ thống hoặc phương tiện lưu trữ độc lập để sao lưu dự phòng các dữ liệu quan trọng trên máy chủ. Việc sao lưu được thực hiện định kỳ theo quy định của tổ chức.

2. Yêu cầu quản lý:

a) Chính sách chung:

- Có chính sách an toàn thông tin cho người sử dụng bao gồm các nội dung: chính sách truy cập và sử dụng mạng và tài nguyên trên Internet; truy cập và sử dụng ứng dụng;

- Có chính sách an toàn thông tin cho người quản trị, vận hành hệ thống bao gồm nhưng không giới hạn bởi chính sách quản lý an toàn hạ tầng mạng, an toàn máy chủ, an toàn ứng dụng và an toàn dữ liệu;

b) Tổ chức, nhân sự:

Có quy trình, thủ tục để cấp phát, loại bỏ tài khoản, quyền truy cập của cán bộ mới tham gia sử dụng hệ thống, cán bộ thay đổi nhiệm vụ hoặc cán bộ ngừng sử dụng hệ thống;

c) Quản lý thiết kế, xây dựng:

- Có tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin;

- Có phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu, bàn giao;

- Có hồ sơ cấp độ được thẩm định, phê duyệt bởi đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin;

d) Quản lý vận hành:

- Có quy trình quản lý, vận hành hệ thống phù hợp yêu cầu kỹ thuật cơ bản; quản lý sự thay đổi, di chuyển hệ thống; kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống;

- Có phương án ứng cứu sự cố trong tình huống xảy ra sự cố an toàn thông tin;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Có phương án định kỳ 02 năm hoặc đột xuất khi cần thiết thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin theo quy định của pháp luật;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro phải do đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện hoặc thuê ngoài thực hiện theo quy định của pháp luật.

PHỤ LỤC 3

YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 3
(Ban hành kèm theo Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Yêu cầu kỹ thuật:

a) An toàn hạ tầng mạng:

- Có thiết kế vùng mạng dành riêng bao gồm vùng mạng riêng cho máy chủ nội bộ, vùng mạng riêng cho các máy chủ cung cấp các dịch vụ hệ thống cần thiết (như dịch vụ DNS, DHCP, NTP và các dịch vụ khác), vùng mạng riêng cho máy chủ cơ sở dữ liệu và các vùng mạng riêng khác theo yêu cầu của tổ chức;

- Có thiết kế vùng mạng nội bộ thành các mạng chức năng riêng theo yêu cầu nghiệp vụ; phân vùng mạng riêng cho mạng không dây tách biệt với các vùng mạng chức năng; phân vùng mạng riêng cho các máy chủ cung cấp dịch vụ ra ngoài mạng Internet;

- Có phương án cân bằng tải và giảm thiểu tấn công từ chối dịch vụ;

- Có thiết kế hệ thống quản lý lưu trữ tập trung và giám sát an toàn thông tin;

- Có phương án sử dụng thiết bị có chức năng tường lửa giữa các vùng mạng quan trọng;

- Có phương án phát hiện, phòng chống xâm nhập và chặn lọc phần mềm độc hại giữa mạng Internet và các mạng bên trong;

- Có lưu trữ nhật ký các thiết bị mạng và quản lý tập trung trong vùng mạng quản trị đối với các thiết bị mạng có hỗ trợ tính năng này hoặc thiết bị mạng quan trọng;

- Có lưu trữ tối thiểu trong 03 tháng đối với nhật ký của các thiết bị mạng và bảo đảm đồng bộ thời gian nhật ký với máy chủ thời gian thực theo múi giờ Việt Nam;

- Có thiết kế dự phòng cho các thiết bị mạng chính trong hệ thống bảo đảm duy trì hoạt động bình thường của hệ thống khi một thiết bị mạng gặp sự cố;

- Có phương án cập nhật phần mềm, xử lý điểm yếu an toàn thông tin và cấu hình tối ưu thiết bị mạng trước khi đưa vào sử dụng trong mạng;

- Có phương án xác thực tài khoản quản trị trên tất cả các thiết bị mạng trong đó bảo đảm yêu cầu về mật khẩu có độ phức tạp cần thiết, phòng chống dò quét mật khẩu;

- Có phương án giới hạn các nguồn truy cập, quản trị các thiết bị mạng;

- Có phương án chỉ cho phép quản trị các thiết bị mạng thông qua mạng Internet bằng mạng riêng ảo hoặc các phương pháp khác tương đương;

- Có ghi nhật ký đối với các hoạt động trên thiết bị mạng nội bộ và bảo đảm đồng bộ thời gian nhật ký với máy chủ thời gian;

- Có mã hóa thông tin xác thực lưu trên thiết bị mạng;

b) An toàn máy chủ:

- Có phương án quản lý xác thực tập trung; chống đăng nhập tự động và tự động hủy phiên đăng nhập sau một khoảng thời gian chờ phù hợp với chính sách của tổ chức;

- Có thiết lập quyền truy cập, quản trị, sử dụng tài nguyên của từng tài khoản trên hệ thống phù hợp với nhiệm vụ, yêu cầu nghiệp vụ khác nhau;

- Có phương án quản lý bản vá, nâng cấp phần mềm hệ thống tập trung;

- Có phương án lưu trữ và quản lý tập trung nhật ký máy chủ. Nhật ký được lưu tối thiểu 03 tháng;

- Có phương án đồng bộ nhật ký máy chủ với hệ thống giám sát an toàn thông tin;

- Có phương án giới hạn các nguồn cho phép truy cập, quản trị máy chủ; việc quản trị máy chủ thông qua mạng Internet phải sử dụng mạng riêng ảo hoặc các phương pháp khác tương đương;

- Có phương án sử dụng tường lửa trên từng máy chủ nhằm thiết lập chỉ cho phép các kết nối hợp pháp theo các dịch vụ được máy chủ cung cấp;

- Có phương án sao lưu dự phòng hệ điều hành máy chủ, cấu hình máy chủ phù hợp với yêu cầu của tổ chức;

- Có ghi nhật ký đối với các hoạt động truy cập, quản trị, phát sinh lỗi;

c) An toàn ứng dụng:

- Có thiết lập yêu cầu thay đổi mật khẩu định kỳ đối với tài khoản quản trị ứng dụng; giới hạn thời gian chờ để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng;

- Có thiết lập tách biệt ứng dụng quản trị với ứng dụng cung cấp dịch vụ cho người sử dụng và bảo đảm ứng dụng hoạt động với quyền tối thiểu trên hệ thống;

- Có phương án giới hạn các nguồn cho phép truy cập, quản trị ứng dụng; việc quản trị ứng dụng thông qua mạng Internet phải sử dụng mạng riêng ảo hoặc các phương pháp khác tương đương;

- Có phương án kiểm tra, lọc các dữ liệu đầu vào từ phía người sử dụng, bảo đảm các dữ liệu này không ảnh hưởng đến an toàn thông tin của ứng dụng.

d) An toàn dữ liệu:

- Có phương án mã hóa dữ liệu lưu trữ (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ;

- Có phương án tự động sao lưu dự phòng đối với thông tin/dữ liệu phù hợp với tần suất thay đổi của dữ liệu;

2. Yêu cầu quản lý:

a) Chính sách chung: Định kỳ 02 năm hoặc đột xuất khi cần thiết thực hiện rà soát, cập nhật chính sách chung về an toàn thông tin;

b) Tổ chức, nhân sự:

- Có kế hoạch và định kỳ tổ chức đào tạo, bồi dưỡng, tuyên truyền, phổ biến nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ quản lý và cán bộ kỹ thuật có liên quan;

- Có chính sách yêu cầu cán bộ liên quan khi thôi việc cần cam kết giữ bí mật thông tin liên quan đến dữ liệu trên hệ thống, thông tin riêng của tổ chức hoặc thông tin nhạy cảm khác;

c) Thiết kế, xây dựng hệ thống:

Có hồ sơ đề xuất cấp độ được thẩm định bởi đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin;

d) Quản lý vận hành:

- Có phương án giám sát an toàn thông tin cho hệ thống trong quá trình vận hành theo quy định của pháp luật;

- Có kế hoạch và định kỳ tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống; cử cán bộ tham gia vào các cuộc diễn tập quốc gia hoặc quốc tế do cơ quan chức năng triệu tập;

- Có kế hoạch khôi phục hoạt động bình thường của hệ thống trong trường hợp xảy ra sự cố hoặc thảm họa;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin theo quy định của pháp luật;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép hoặc tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp do chủ quản hệ thống thông tin chỉ định thực hiện theo quy định của pháp luật.

PHỤ LỤC 4

YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 4
(Ban hành kèm theo Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Yêu cầu về kỹ thuật:

a) An toàn hạ tầng mạng:

- Có phương án phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng;

- Có phương án quản lý mạng không dây (nếu có) tập trung;

- Có hệ thống quản lý phòng chống mã độc tập trung. Trong đó, hệ thống có chức năng cơ bản bao gồm: cập nhật dữ liệu, gửi cảnh báo, nhận thông tin điều khiển từ hệ thống quản lý tập trung tới các phần mềm được cài đặt trên máy chủ/ máy trạm trong mạng;

- Có phương án dự phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống;

- Có phương án sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng quan trọng;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

- Có phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng;

- Có phương án duy trì ít nhất 02 kết nối mạng Internet từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet);

- Có phương án chống thất thoát dữ liệu trong hệ thống;

b) An toàn máy chủ:

- Có phương án sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các máy chủ trong hệ thống;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của máy chủ. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

- Có phương án kiểm tra tính toàn vẹn của các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài khoản hệ thống;

c) An toàn ứng dụng:

- Có phương án sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các tài khoản quản trị của ứng dụng; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của ứng dụng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

- Có cơ chế mã hóa thông tin xác thực của người sử dụng trước khi gửi đến

ứng dụng qua môi trường mạng;

- Có cơ chế xác thực thông tin, nguồn gửi khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông tin, dữ liệu công khai) qua môi trường mạng;

d) An toàn dữ liệu:

- Có phương án kiểm tra tính toàn vẹn của dữ liệu và phát hiện, cảnh báo khi dữ liệu có sự thay đổi;

- Có phương án phân loại và quản lý các dữ liệu được lưu trữ theo từng loại/nhóm thông qua việc gán các nhãn khác nhau;

- Có phương án sử dụng hệ thống sao lưu dự phòng có khả năng chịu lỗi, bảo đảm dữ liệu có khả năng phục khôi phục khi xảy ra sự cố;

2. Yêu cầu quản lý:

a) Chính sách chung: Định kỳ 01 năm hoặc đột xuất khi cần thiết thực hiện rà soát, cập nhật chính sách chung về an toàn thông tin;

b) Tổ chức, nhân sự:

- Có chính sách thẩm tra, xác minh lý lịch của cán bộ quản lý và cán bộ kỹ thuật vận hành, chịu trách nhiệm về an toàn thông tin cho hệ thống, bảo đảm sự phù hợp về mặt chuyên môn nghiệp vụ, đạo đức nghề nghiệp và phù hợp với yêu cầu, tính chất đặc thù của công việc;

- Có kế hoạch và định kỳ hàng năm tổ chức đào tạo, bồi dưỡng, tuyên truyền, phổ biến nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ quản lý và cán bộ kỹ thuật có liên quan;

- Có chính sách xây dựng đội ngũ chuyên trách về an toàn thông tin và phân công lãnh đạo đơn vị trực tiếp phụ trách an toàn thông tin;

c) Thiết kế, xây dựng hệ thống:

- Có hồ sơ cấp độ được thẩm định bởi Bộ Thông tin và Truyền thông;

- Có phương án kiểm tra tính tương thích, tác động của các bản vá, cập nhật an toàn thông tin đối với hoạt động của hệ thống;

- Có phương án cấu hình tối ưu, bảo đảm an toàn thông tin cho các thiết bị mạng, máy chủ trước khi đưa vào hoạt động trong hệ thống;

- Có phương án thực hiện kiểm tra, đánh giá tổng thể về an toàn thông tin của hệ thống trước khi đưa vào vận hành, khai thác;

d) Quản lý vận hành:

- Có phương án giám sát an toàn thông tin riêng cho hệ thống theo quy định của pháp luật; tổ chức trực giám sát 24/7;

- Có kế hoạch và định kỳ hàng năm tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống;

- Có phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng theo quy định của pháp luật;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin;

- Việc kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép hoặc tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp do chủ quản hệ thống thông tin chỉ định thực hiện theo quy định của pháp luật.

PHỤ LỤC 5

YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 5
(Ban hành kèm theo Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Yêu cầu kỹ thuật:

a) An toàn hạ tầng mạng:

- Có hệ thống tường lửa, hệ thống phát hiện và phòng chống xâm nhập giữa các vùng mạng của hệ thống;

- Có phương án lưu dữ liệu nhật ký của các thiết bị mạng tối thiểu 12 tháng;

- Có phương án dự phòng cho tất cả các thiết bị mạng bảo đảm hoạt động của hệ thống không bị gián đoạn;

b) An toàn máy chủ:

- Có phương án sử dụng giải pháp phòng chống xâm nhập mức máy trạm đối với các máy chủ;

- Có phương án lưu trữ nhật ký độc lập và phù hợp với hoạt động của máy chủ. Nhật ký của hệ thống phải được lưu tối thiểu 12 tháng;

c) An toàn ứng dụng:

- Có phương án áp dụng cơ chế xác thực hai chiều khi trao đổi dữ liệu quan trọng qua môi trường mạng;

- Có phương án sử dụng thiết bị lưu trữ chuyên dụng để lưu trữ thông tin xác thực;

- Có phương án lưu nhật ký của ứng dụng lưu tối thiểu 12 tháng;

d) An toàn dữ liệu:

- Có phương án sử dụng kênh riêng khi truyền đưa, trao đổi dữ liệu qua môi trường mạng;

- Có phương án lưu trữ dự phòng các dữ liệu trên hệ thống ở các vị trí địa lý khác nhau;

- Có phương án duy trì ít nhất 02 kết nối mạng từ hệ thống sao lưu dự phòng chính với hệ thống sao lưu dự phòng phụ.

2. Yêu cầu quản lý:

a) Chính sách chung:

Định kỳ 06 tháng hoặc đột xuất khi cần thiết thực hiện rà soát, cập nhật chính sách chung về an toàn thông tin;

b) Chính sách tổ chức, nhân sự:

- Các vị trí công việc khác nhau phải bố trí cán bộ chuyên trách khác nhau, không được sử dụng cán bộ kiêm nhiệm;

- Các vị trí vận hành khai thác quan trọng cần bố trí ít nhất 02 cán bộ cùng tham gia thực hiện;

c) Thiết kế, xây dựng hệ thống:

Sản phẩm, thiết bị được đầu tư trong hệ thống phải được kiểm định an toàn thông tin trước khi đưa vào vận hành khai thác;

d) Quản lý vận hành:

Có kế hoạch và định kỳ 06 tháng tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Định kỳ 06 tháng hoặc theo yêu cầu thực tế hoặc theo yêu cầu, cảnh báo của cơ quan chức năng thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép hoặc tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp do chủ quản hệ thống thông tin chỉ định thực hiện theo quy định của pháp luật.

MINISTRY OF INFORMATION AND COMMUNICATIONS -------	SOCIALIST REPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. 03/2017/TT-BTTTT	Hanoi, April 24, 2017

CIRCULAR

ON GUIDELINES FOR THE GOVERNMENT’S DECREE NO. 85/2016/ND-CP DATED JULY 01, 2016 ON THE SECURITY OF INFORMATION SYSTEM BY CLASSIFICATION

Pursuant to the Law on security of information over network dated November 19, 2015;

Pursuant to the Government’s Decree No. 85/2016/ND-CP dated July 01, 2016 on the security of information system by classification;

Pursuant to the Government’s Decree No. 17/2017/ND-CP dated February 17, 2017 on defining the functions, tasks, powers and organizational structure of Ministry of Information and Communications;

At the request of the Minister of Information and Communication,

The Minister of Information and Communications promulgates the Circular on guidelines for the Government’s Decree No. 85/2016/ND-CP dated July 01, 2016 on the security of information system by classification.

Chapter I

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Article 1. Scope

1. This Circular regulates the security of information system by classification, including: guide the classification of information system by class; request the security of information system by classification; inspect and evaluate the security of information; keep and verify the proposal for the classification; report and share information.

2. Information system serving defense and security activities that are managed by the Ministry of National Defense and the Ministry of Public Security shall not be regulated by this Circular.

Article 2. Regulated entities

The entities regulated by this Circular are specified in Article 2 of the Government’s Decree No. 85/2016/ND-CP dated July 01, 2016 on the security of information system by classification (hereinafter referred to as Decree No. 85/2016/ND-CP).

Article 3. Definitions

In this Circular, these terms are construed as follows:

1. “Multi-factor authentication” is a method of authentication using at least two components in connection with the user, including: something that the user knows (password, access code, etc.), something the user possesses (ID, smart card, etc.) or some physical characteristic of the user (fingerprint, eye iris, etc.).

2. "Hot backup" refers to the ability to replace the system when there is an error without interrupting the operation of the system.

...

4. “Main or important network device” refers to devices that once stopped a part or all of them without planning will cause disruption in the information system.

Chapter II

GUIDELINE FOR THE DETERMINATION AND CLASSIFICATION OF INFORMATION SYSTEM

Article 4. Determination of specific information system

1. The determination of information system for classification is subject to the principles specified in Clause 1 Article 5 of Decree No. 85/2016/ND-CP.

2. The information system is established through one or several of the following forms: New construction investment; upgrading, expansion and integration with existing systems; rental or transfer of systems.

3. An information system that services internal activities solely contributes to the internal management and operation of an agency or organization, including:

a) Email system;

b) Document management and administration system;

...

d) Specific information management system (personnel, finance, asset or other specific professional areas) or general information management system (integrated management of many different functions and operations);

dd) Internal information processing system.

4. An information system that is of use to the people and enterprises provide directly or support the provision of online services, e.g. online public services and other online services regarding telecommunications, information technology, commerce, finance, banking, health, education and other specialties, including:

a) Email system;

b) Document management and administration system;

c) Electronic single window system;

d) Website system;

dd) Directly or indirectly providing online service system;

e) Customer service system.

...

a) Intranet, Wide area network, special data transmission network;

b) Database, data center and cloud computing network;

c) Electronic verification, electronic authentication and digital signature system;

c) Interconnection system, enterprise service bus.

6. An industrial maneuver information system has the functional role in supervising and collecting data, managing and controlling vital sections for maneuvering and operating ordinary activities of buildings, including:

a) Programmable logic controller (PLCs);

b) Distributed control system (DCS);

c) Supervisory control and data acquisition (SCADA).

7. Other information systems that do not belong to the abovementioned forms are used to directly serve or support professional operations, production and business of specific agencies or organizations in specialized operations.

...

1. Regarding state authorities and organizations, the administrator of the information system is one of the following cases:

a) Ministries, ministerial agencies, Governmental agencies;

b) Provincial People’s Committees;

c) Competent authorities given discretion in investment projects for the construction, configuration, upgrade and expansion of information systems

2. Regarding other businesses and organizations, administrators of information systems are competent authorities given discretion in investment projects for the construction, configuration, upgrade and expansion of information systems.

3. The information system administrator may authorize an organization to exercise direct management over the information system and be responsible for ensuring the security of the information system on its behalf as specified in Clause 2 Article 20 of Decree No. 85/2016/ND-CP.

The authorization must be made in writing, clearly identifying the authorization scope and time limit. The authorized organization must directly exercise the rights and obligations of the information system administrator without re-authorizing a third party.

Article 6. Operators of information systems

1. Operators of an information system refer to agencies and organizations that the administrators of the information system designate to operate such system.

...

3. If the administrators of an information system outsource information technology services, the operators of the information system shall be providers of such services.

Article 7. Guideline for the determination and explanation of information system

The determination and explanation of information system consist of:

1. Determine and classify the information system; determine the information system administrator and operators in accordance with Article 5, 6 of Decree No. 85/2016/ND-CP and Article 4, 5 and 6 hereof.

2. Determine the information processed by an information system in accordance with Clause 1 Article 6 of Decree No. 85/2016/ND-CP.

3. The classification of information system level is subject to the principles specified in Article 7 to 11 of Decree No. 85/2016/ND-CP. If the information system is given class 4 or 5, the explanation of classification proposal shall specify the following contents:

a) The classification of other information systems that are related or have a connection to or have significant impact on the normal operation of the proposed information system; clearly determine the extent to which the proposing information systems are affected when these systems lose information security.

d) The list of proposal of important network components, equipment and important information processed in the system (if any);

c) The explanation on the importance of network components, equipment and the information, data processed or saved in the system (if any);

...

dd) The assessment of the scope and scale of influence to public interest, social order or national defense and security when a network attack causes loss of information security or interruption in the operation of each classified system.

For information systems to be given class 4, the explanation must require them to function on round-the-clock basis and does not halt without prior schedule;

e) Other explanations (if any) based on practical operation of the information system.

Chapter III

REQUIREMENTS FOR SECURITY OF INFORMATION SYSTEMS BY CLASSIFICATION

Article 8. General requirements

1. The security of information system by classification must comply with basic requirements as specified hereof; technical regulations and standards on information security and other related professional technical regulations and standards.

2. Basic requirements by classification as specified hereof are minimum requirements for information security excluding physical security requirements.

3. Basic requirements shall consist of:

...

b) Management requirements: General Policy; organization, personnel; design and construction management; operational management; inspection, assessment and risk management.

4. The preparation of information security proposal according to basic requirements for each class shall comply with Clause 2 Article 4 of Decree No. 85/2016/ND-CP, specifically as follows:

a) For information system class 1, 2, 3: The information security proposal shall consider the ability to share resources and secure information between information systems to optimize performance and preclude redundant and overlapping investments. In cases of newly invested system, there must be an explanation that the existing solution does not meet the basic requirements;

b) For information system class 4, 5: Information security proposal shall be designed to ensure availability, segregation, and impact mitigation of the entire system when a component of the system or system-related information is insecure.

Article 9. Basic requirements for each class

1. Information system class 1 security proposal shall comply with the specific requirements specified in Annex 1 enclosed herewith.

2. Information system class 2 security proposals shall comply with the specific requirements for class 1 and supplemented requirements specified in Annex 2 enclosed herewith.

3. Information system class 3 security proposals shall comply with the specific requirements for class 2 and supplemented requirements specified in Annex 3 enclosed herewith.

4. Information system class 4 security proposals shall comply with the specific requirements for class 3 and supplemented requirements specified in Annex 4 enclosed herewith.

...

Chapter IV

INSPECTION AND ASSESSMENT OF INFORMATION SECURITY

Article 10. Contents and forms of inspection and assessment

1. Contents of inspection and assessment:

a) Inspect the compliance with the laws on security of information systems by classification;

b) Assess the efficiency of information system security measures;

c) Assess the detection of malicious code, security holes and vulnerabilities, test the intrusion detection system;

d) Other inspection and assessment as regulated by the information system administrator.

2. Forms of inspection and assessment:

...

b) Inspect and assess irregularly at the request of competent authorities.

3. Competent authorities requesting the assessment and inspection:

a) Minister of Information and Communications;

b) Administrator of information system under the management;

c) Specialized information security units under administrators of information systems which classification proposals approved by such units.

4. Units in charge of inspection and assessment shall be assigned or selected by competent authorities.

5. The subject of inspection and assessment is the administrator of the information system or the operators of the information system and related information systems.

Article 11. Inspection of the compliance with the laws on security of information systems by classification

1. Inspection of the compliance with the laws on security of information systems by classification shall include:

...

b) Inspect the compliance with the laws on the implementation of the proposal on security of information systems by classification;

2. The unit in charge of inspection is one of the following units:

a) The Authority of Information Security;

b) Specialized information security units.

3. Periodic inspection plans include the following contents:

a) A list of units, information systems (if any) being inspected;

b) Scope and contents of inspection;

c) Inspection duration;

d) Cooperating units (if any).

...

5. Regarding periodic inspection:

a) The unit in charge of inspection shall prepare the periodical inspection plan for the subsequent year and submit it to the competent authority for approval to serve as a basis for implementation;

b) In case of change compared to the approved periodic inspection plan, the unit in charge of inspection shall prepare the periodical inspection plan amendments and submit it to the competent authority for approval;

c) The periodic inspection plan shall be sent to the inspected subjects and superior agencies of the inspected subjects within 10 days from the approved date but at least 10 days before the inspection day.

6. Regarding irregular inspection:

Depend on the request for irregular inspection and decision on inspection, the head of the inspection unit shall prescribe the contents of the inspection where appropriate.

7. After the direct inspection at the establishment, the inspection unit shall notify the inspected subjects and hand over documents and equipment (if any) used in the inspection process.

The inspection team shall draft an inspection report and send it to the inspected subjects for comments. Within 5 working days after receiving the draft inspection report, the inspected subjects shall comment on the draft contents.

8. Based on the draft inspection report, opinions and explanations of inspected subjects, within 30 days from the inspection date at the establishment, the inspection unit shall complete the inspection report, draft inspection conclusion and send them to the competent authority for considering approval.

...

Article 12. Assessment of the efficiency of information security measures

1. The assessment of the efficiency of information security measures refers to the overall review and verification of the efficiency of information security measures in accordance with each criterion and basic requirement.

The assessment of the efficiency of applied information security measures is the basis for adjusting the plan to ensure information security in accordance with practical requirements.

2. The unit in charge of assessment is one of the following units:

a) The Authority of Information Security;

b) Specialized information security units;

c) Government agencies given suitable functions and assignments;

d) Enterprises possessing licenses for provision of inspection and assessment of network information security;

3. The operators of the information system shall prepare the periodical assessment plan for the subsequent year and submit it to the competent authority for approval to serve as a basis for implementation. The assessment plan includes:

...

b) Assessment duration;

c) Operating unit: Self-operate or operated by a specialized information security unit or outsourced in accordance with the law.

4. b) In case of change compared to the approved assessment plan, the operators of the information system shall prepare the amendment of the assessment plan and submit it to the competent authority for approval;

5. After the direct inspection at the establishment, the assessment unit shall notify the operators of the information system and hand over documents and equipment (if any) used in the inspection process.

The assessment team shall draft an assessment report and send it to the operators of the information system for comments. Within 5 working days after receiving the draft assessment report, the operators of the information system shall comment on the draft contents.

6. Based on the draft assessment report, opinions and explanations of operators of the information system, the assessment unit shall complete the assessment report and send it to the operators and administrator of the information system.

Article 13. Assessment of the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system

1. Assessment of the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system refers to the detection of vulnerabilities and holes in the system and testing of intrusion detection systems, and assessment of risks and damages of information systems which may exists when the system is attacked by intruders.

2. The unit in charge of assessment is one of the following units:

...

b) Specialized information security units;

c) Government agencies given suitable functions and assignments;

d) Enterprises possessing licenses for provision of inspection and assessment of network information security or other organizations allowed by the information system administrator to assess the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system .

3. The unit in charge of assessing the detection of malicious code, security holes and vulnerabilities, test the intrusion detection system shall:

a) Inform the system administrator of discovered information security vulnerabilities to overcome and prevent information security incidents.

b) Ensure the data security related to the assessed system, do not release relevant data without the consent of the information system administrator;

c) Ensure that the assessment of the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system do not affect normal operation of the system.

Chapter V

RECEIPT AND VERIFICATION OF THE CLASSIFICATION PROPOSAL

...

1. For an information system to be given class 1, 2 or 3:

Operators of the information system shall send 01 original copy and 02 authenticated copies of the classification proposal to the specialized information security units for verification.

2. For an information system to be given class 4 or 5:

a) The administrator of the information system shall send 01 original copy and 04 authenticated copies of the classification proposal to the Ministry of Information and Communications (the Authority of Information Security) for verification;

b) For an information system to be given class 4 or 5, the recipient and receiving address shall be:

Ministry of Information and Communications (the Authority of Information Security), Floor 8, 115 Tran Duy Hung Building, Cau Giay District, Hanoi.

In case of changing the receiving address, the Authority of Information Security shall announce the change of address in accordance with laws.

3. Within 05 working days from the day on which the proposal is received, the recipient shall verify whether it is satisfactory. If the proposal is unsatisfactory, the recipient shall send a written notification to the applicant for supplements.

Article 15. Verification of the classification proposal

...

The specialized information security unit shall verify the classification proposal as prescribed in Article 16 of Decree No. 85/2016/ND-CP.

During the verification process, the specialized information security unit shall collect written opinions of related units if necessary.

2. For an information system to be given class 4 or 5:

The Ministry of Information and Communications shall verify the classification proposal as prescribed in Article 16 of Decree No. 85/2016/ND-CP. The verification of the classification proposal shall follow the process below:

a) The Authority of Information Security shall request for written comments of the Department of Legal Affairs and other related unit affiliated with the Ministry of Information and Communications if necessary within their assigned functions and duties;

b) The Ministry of Information and Communications shall request for written comments of the Ministry of National Defense and the Ministry of Public Security in accordance with the laws.

c) Based on written comments of the Ministry of National Defense, the Ministry of Public Security and other related units, the Ministry of Information and Communications shall establish a verification council to discuss and give specific opinions. The chairperson of the verification council is assigned by the Minister of Information and Communications, the members are representatives of the leaders of the Authority of Information Security, Department of Legal Affairs, VNCERT - Ministry of Information and Communications, representatives of leaders of functional units of the Ministry of Public Security, Ministry of Defense and some independent experts (if necessary).

Article 16. Mechanism for verification cooperation

1. Operators of the information system shall cooperate with the unit verifying the classification proposal in determining the suitability of the classification proposal and operational requirements of corresponding information system.

...

…………………………..

Protect confidentiality of origin and content of information as agreed between parties sharing information.

4. The Information sharing is done at least every quarter and in accordance with the actual operation of the respective information system.

5. Shared information includes:

a) Information has yet been analyzed or analyzed on the risk of information insecurity; Information about occurred network attacks

- Types of network attacks recorded at the system;

- Quantity of network attacks recorded at the system;

- Samples of the recorded information of network attacks;

- Other data as agreed between parties sharing information.

...

Chapter VII

ORGANIZATION OF IMPLEMENTATION

Article 19. Effect

1. This Circular shall come into force as of July 01, 2017.

2. Any issue arising during the implementation of this Circular should be promptly reported to the Ministry of Information and Communications (the Authority of Information Security) for consideration and settlement./.

MINISTER

Truong Minh Tuan

...

ANNEX 1

BASIC REQUIREMENTS FOR SECURITY OF INFORMATION SYSTEM CLASS 1
(issued together with Circular No. 03/2017/TT-BTTTT dated April 24, 2017 of the Minister of Information and Communications)

1. Technical requirements:

a) Server security:

- Authenticate by password and system log for server access and administration;

- Do not use unencrypted connections in remote server administration;

b) Application security;

Authenticate by password and system log for application access and administration login;

c) Data security:

...

2. Managerial requirements:

a) General policy: Have an information security policy for administrators and operators of the system;

b) Organization and personnel: Have a principle contact agent for notifying, exchanging and handling arising issues or information insecurity of the information system.

ANNEX 2

BASIC REQUIREMENTS FOR SECURITY OF INFORMATION SYSTEM CLASS 2
(issued together with Circular No. 03/2017/TT-BTTTT dated April 24, 2017 of the Minister of Information and Communications)

1. Technical requirements:

a) Network infrastructure security:

- Split the network infrastructure into different network areas according to the requirements and purposes;

...

- Have the authentication and encryption mechanisms when using wireless networks (if any);

- Have the option to authenticate administrator account on important network equipment;

- Have the option to use remote administration (if any) through encryption protocols;

b) Server security:

- Use anti-malware software that has a mechanism to automatically update the new version or new malicious code detection for this software.

- Have a password authentication mechanism to ensure necessary complexity, require a periodic password change according to the regulations of the organization and mechanisms to prevent password scans; Store credentials on the system in encrypted form;

- Have the option to disable the default or inactive accounts on the system; disable services, unused software on the server;

- Have system log for server access and administration;

- Establish a mechanism for updating patches of information security vulnerabilities for operating systems and system services on the server;

...

- Establish a password requirement mechanism on applications that are sufficiently complex to prevent password scans; store credentials on the system in encrypted form;

- Establish access log and error log requirements;

- Do not use unencrypted internet connections in remote application administration.

d) Data security: Use a system or portable storage device to back up important data on the server. The backups are done periodically according to regulations of the organization.

2. Managerial requirements:

a) General policy:

- Have an information security policy for users including: policy of access and use of network and resources on the Internet; policy of access and use of application;

- Have an information security policy for administrators and operators of the system that not being restricted by the management policy of network security, server security, application security and data security;

b) Organization and personnel:

...

c) Design and construction management:

- Have design documents and description of the options of the information system security;

- Check and verify whether the system is implemented in accordance with the design documents and information security requirements before acceptance and handover;

- Have a classification proposal verified and by specialized information security units under administrators of the information system.

d) Operational management:

- Have the management and operation process of the system in conformity with the basic technical requirements; manage the system change and migration; end of operation, exploitation, liquidation, cancellation of the system;

- Have the procedure for response to an information security incident;

dd) Inspection, assessment and management of risks:

- Carry out the inspection and assessment of information security and management of information security risks every 02 years or when necessary according to the provisions of law.

...

ANNEX 3

BASIC REQUIREMENTS FOR SECURITY OF INFORMATION SYSTEM CLASS 3
(issued together with Circular No. 03/2017/TT-BTTTT dated April 24, 2017 of the Minister of Information and Communications)

1. Technical requirements:

a) Network infrastructure security:

- Design specific networks includes local area networks for local servers, specific area networks for servers that provide essential system services (such as DNS, DHCP, NTP and other services), specific networks for database servers and other specifics networks as required by the organization;

- Design local area networks into functional networks according to operational requirements; separate wireless networks from functional area networks; separate specific area networks for servers that provide services from the Internet;

- Have the option of load balancing and mitigation of denial of service attacks;

- Design centralized storage management system and information security administration

...

- Detect, prevent intrusion and block malicious software between the Internet and internal networks;

- Store logs of network equipment and perform centralized network management within function area of network equipment that have this feature or important network equipment.

- Store logs of network equipment at least 03 months and ensure synchronization of logs with real time of the server in Vietnam time zone;

- Have redundant design of main network devices in the system to ensure the normal operation of the system when a network device fails.

- Update software; handle information insecurity and weaknesses in optimal configuration of network devices before using in the network;

- Authenticate admin account on all network devices in which ensure necessary complexity of the password and prevent password scans;

- Restrict access and administration to network devices;

- Only allow administrators to manage network devices through the Internet using virtual private networks or other equivalent methods;

- Store logs for activities on intranet devices and ensure synchronization of log time with real time servers;

...

b) Server security:

- Manage centralized authentication; prevent automatic login and automatic cancelation of login sessions after a timeout in accordance with the organization policy;

- Set up access, administration and use of resources of each account on the system in accordance with different tasks and operational requirements;

- Manage patches and upgrade centralized system software;

- Perform storage and centralized management of server logs. The logs are stored for at least 03 months;

- Synchronize the server logs with the information security monitoring system;

- Restrict sources of access and administration of server; the server administration through the Internet must use virtual private networks or other equivalent methods;

- Use a firewall on each server to only allow legitimate connections according to services provided by the server;

- Backup server operating system, server configuration in accordance with the requirements of the organization;

...

c) Application security:

- Set up a periodic password change request for the application administration account; limit the execution timeout when the application does not receive a request from the user;

- Separate the administrative application with the application that provides service to the user and ensure that the application operates with minimum permissions on the system.

- Restrict sources of access and administration of application; the application administration through the Internet must use virtual private networks or other equivalent methods;

- Inspect and sanitize input data from the user, ensure that those data do not affect the application information security.

d) Data security:

- Encrypt saved data (not public information or data) on storage system/storage media;

- Automatically backup information/data in accordance with the frequency of change of data;

2. Managerial requirements:

...

b) Organization and personnel:

- Prepare plans and periodically organize training, re-training, propagation and dissemination to raise knowledge and skills on information security for related managerial staffs and technicians.

- Establish policies that require related employees to commit to not reveal confidential information relating to system data, private information or the organization or other sensitive information in case of resignation.

c) System design and construction:

Have a classification proposal verified and by specialized information security units under administrators of the information system;

d) Operational management:

- Monitor the system information security during operation in accordance with the law;

- Prepare plans and periodically organize experiment to ensure system information security; send staffs to participate in national or international experiment convened by competent authorities;

- Prepare plans to restore the normal operation of the system in case of an incident or disaster;

...

- Carry out the inspection and assessment of information security and management of information security risks annually according to the provisions of law;

- The inspection and assessment of information security and risk assessment must be conducted by a professional organization licensed by competent authorities or a government agency given suitable functions and assignments designated by the administrator of the system.

ANNEX 4

BASIC REQUIREMENTS FOR SECURITY OF INFORMATION SYSTEM CLASS 4
(issued together with Circular No. 03/2017/TT-BTTTT dated April 24, 2017 of the Minister of Information and Communications)

1. Technical requirements:

a) Network infrastructure security:

- Detect, prevent intrusion between important networks;

- Centrally manage wireless networks (if any);

...

- Establish a hot backup for main network devices to ensure continuous availability of the system; the capacity of the backup device must meet the operational scale of the system;

- Use additional multi-factor authentication methods for important network devices;

- Store logs independently and match the operation of network devices. Log data must be stored for at least 06 months;

- Send real-time alerts directly to system administrators via a monitoring system when problems are detected on network devices;

- Maintain at least two Internet connections from ISPs using different domestic infrastructure networks (if the system requires an Internet connection);

- Establish a data loss prevention system;

b) Server security:

- Use multi-factor authentication mechanism when accessing servers in the system;

- Store logs independently and match the operation of servers. Log data must be stored for at least 06 months;

...

c) Application security:

- Use multi-factor authentication mechanism when accessing the application's administrator accounts; mechanism that requires the users to periodically change their credentials;

- Store logs independently and match the operation of applications. Log data must be stored for at least 06 months;

- Encrypt credentials of users before sending them to the application through a network;

- Authenticate information and sources of information when exchanging information in the process of application management (not public information or data) through a network;

d) Data security:

- Check the integrity of the data, detect and warn when there are changes;

- Sort and manage stored data by type/group using different labels;

- Use a fault-tolerant backup system to ensure data recovery when a problem occurs;

...

a) General policy: Annually or when necessary, review and update the general policy on information security;

b) Organization and personnel:

- Inspect and verify the identity of managers and technicians, be responsible for the system information security, ensure the conformity of professional knowledge, professional ethics and meet the requirements and specific nature of the work;

- Prepare plans and periodically or annually organize training, re-training, propagation and dissemination to raise knowledge and skills on information security for related managerial staffs and technicians.

- Establish a specialized information security unit and assign the leader of the unit directly in charge of information security;

c) System design and construction:

- Have a classification proposal verified by Ministry of Information and Communications;

- Check the compatibility and impact of patches, update information security of system operation;

- Have the optimal configuration; ensure information security for network devices and servers before using in the system;

...

d) Operational management:

- Have private plan on monitoring information security system in accordance with the law; supervise on-site 24/7;

- Prepare plans and annually organize experiment to ensure the system information security;

- Establish emergency response to ensure network information security in accordance with the law

dd) Inspection, assessment and management of risks:

- Carry out the inspection and assessment of information security and management of information security risks;

- The inspection and assessment of information security and risk management must be conducted by a professional organization licensed by competent authorities or a government agency given suitable functions and assignments designated by the administrator of the system.

ANNEX 5

...

1. Technical requirements:

a) Network infrastructure security:

- Use firewall, intrusion detection and prevention system between the network areas of the system;

- Store logs of network devices for at least 12 months;

- Prepare backup plans for all network devices to ensure the system operation is uninterrupted;

b) Server security:

- Use workstation-level intrusion prevention system for servers;

- Store logs independently and match the operation of servers. Logs of the servers must be stored for at least 12 months;

c) Application security:

...

- Use a specific storage device to store credentials;

- Store logs of applications for at least 12 months;

d) Data security:

- Use private channel when transmitting and exchanging data through a network;

- Backup system data in different geographic locations;

- Maintain at least 02 network connections from the primary backup system with the secondary backup system;

2. Managerial requirements:

a) General policy:

General policy: Biannually or when necessary, review and update the general policy on information security;

...

- Assign different full-time staffs for different positions, do not use part-time staff;

- Assign at least 02 staffs for important operational positions;

c) System design and construction:

Products and equipment invested in the system must be inspected for information security before being put into operation and exploitation;

d) Operational management:

Prepare plans and biannually organize experiment to ensure the system information security;

dd) Inspection, assessment and management of risks:

- Carry out the inspection and assessment of information security and information security risk management on a biannual basis or when deemed necessary, requested or warned by a functional authority;

...